Die Oktane war sehr erfolgreich! Die Oktane war sehr erfolgreich! Sehen Sie sich unsere On-Demand-Sessions an. →
+49 (892) 620-3329 Suche

Informationsklassifikation: Definition & interne Entwicklung

Erfahren Sie, wie Benutzer Migration with Okta unerwartetes Zurücksetzen von Passwörtern reduziert und Helpdesk-Anrufe und Supportprobleme reduziert hat.

Aktualisiert: 26. August 2024 Lesezeit: ~

Topics

IAM

Inhalt

 

Dieser Artikel wurde maschinell übersetzt.

 

Der Begriff Informationsklassifizierung scheint eine offensichtliche Definition zu haben – wie Informationen in einem System klassifiziert werden. Dieser Prozess ist jedoch mit einigen Komplexitäten verbunden, insbesondere in Bezug auf die Datensicherheit und die Vorschriften für den Zugriff auf die Informationen. Die IT ist für IT Administratoren und Geschäftsführer wichtig, um Compliance-Regeln und -Vorschriften, Best Practices der Branche und den besten Ansatz für die Sicherheit und die Zuweisung von Zugriffsrechten innerhalb des Unternehmens zu verstehen. Unter Informationsklassifizierung versteht man die Art und Weise, wie Daten im Computersystem eines Unternehmens gruppiert werden, häufig mithilfe einer Datenbankstruktur. Das bedeutet beispielsweise, dass sich Daten aus der Marketingabteilung nicht mit Daten aus der Personalabteilung vermischen. Würden diese Dateien ohne Angabe eines Unternehmens gespeichert, wären sie später nur schwer zu finden. Die Verwendung dieser Art der Datenspeicherung ermöglicht es Ihnen, den Zugriff auf bestimmte Gruppen von Informationen auf diejenigen zu beschränken, die die IT benötigen. Beispielsweise verfügen Sie möglicherweise über bestimmte Dateien, auf die der Finanzmanager zugreifen muss, ein neuer Buchhalter auf Einstiegsebene jedoch nicht. Diese Art der Einschränkung schützt auch die Daten Ihres Unternehmens vor Sicherheitsverletzungen oder Hackern.

Konformität mit ISO 27001

Ein Unternehmen klassifiziert IT-Informationen danach, wer auf die IT zugreifen muss. Die meisten Systeme verwenden vier Berechtigungsstufen:

  1. Vertraulich: IT ist nur für das obere Management.
  2. Eingeschränkt: Die meisten Mitarbeiter haben Zugriff, einige jedoch nicht.
  3. Intern: Alle Mitarbeiter haben Zugang; Niemand von außen kann auf die IT zugreifen.
  4. Öffentlich: Jeder hat Zugang, auch diejenigen, die nicht mit dem Unternehmen zusammenarbeiten.

In größeren Organisationen gibt es oft Unterkategorien oder unterschiedliche Ebenen, und verschiedene Unternehmen können unterschiedliche Namen für diese Zugriffsebenen verwenden. Unternehmen, die den Datenzugriff und -schutz ernst nehmen, werden den ISMS-Standard (Information and Security Management System), ISO 27001 Compliance, für ihre Datenbanken verwenden.

Dieser internationale Standard wird von Regulierungsbehörden auf der ganzen Welt als Best Practice zum Schutz digitaler Daten in Unternehmen empfohlen. Die ISO/IEC 20071:2013, die in der Regel einfach als ISO27001 bezeichnet wird, legt fest, wie ISMS verwaltet werden sollen. Die letzte Version dieses Standards wurde im September 2013 veröffentlicht und aktualisiert die Leitlinien von 2005.

Schritte nach ISO 27001:2013

ISO 27001 enthält 10 Managementsystemklauseln zur Unterstützung der Implementierung eines ISMS. Diese sind wie folgt:

  1. Scoping 
  2. Normative Verweisungen
  3. Begriffe und Definitionen
  4. Kontext
  5. Führung 
  6. Planung und Risikomanagement
  7. Support
  8. Transaktionen
  9. Leistungsbewertung
  10. Verbesserung

Die Implementierung eines ISMS mit ISO 27001-Konformität umfasst: 

  • Scoping das Projekt, das Audit-Systeme und die Suche nach Problembereichen umfasst, die angegangen werden müssen.
  • Sicherstellung des Engagements des Managements und des Budgets für die Implementierung des neuen Standards.
  • Identifizierung interessierter Parteien und vertraglicher Anforderungen, insbesondere gesetzlicher und regulatorischer Standards.
  • Durchführung einer Risiko-Bewertung.
  • Überprüfung und Implementierung der erforderlichen Kontrollen.
  • Entwicklung interner Kompetenzen zur Leitung dieses Projekts, wofür möglicherweise spezielle Schulungen, die Suche nach Auftragnehmern oder die Einstellung neuer Mitarbeiter erforderlich sind.
  • Dokumentieren Sie jeden Schritt und wie Sie das System verwalten.
  • Durchführung von Sensibilisierungsschulungen für das Personal.
  • Bericht|Berichtsinformationen, insbesondere zur Unterstützung der Bewertung des Risikobewertungsplans.
  • Implementierung einer kontinuierlichen Überwachung, Messung und Prüfung des ISMS, um die Einhaltung der Vorschriften sicherzustellen.
  • Umsetzung aller erforderlichen Präventions- und Korrekturmaßnahmen.

Einhaltung der Informationsklassifizierungsklausel A8.2

Die Norm für die Klassifizierung von Informationen ist Abschnitt A8.2 der ISO 27001. Diese Norm umfasst die folgenden Schritte, um die Konformität zu erfüllen: 

  • Tragen Sie Ihr Vermögen in ein Inventar ein. Fassen Sie alle Ihre Informationen in einem Inventar oder Anlagenregister zusammen. Dies sollte ein neues Inventar sein und nicht die vorherige Version verwenden. Achten Sie beim Eingeben dieser Vermögenswerte darauf, wer Eigentümer oder Verantwortlicher der einzelnen Vermögenswerte ist und in welchem Format sie vorliegen (einschließlich Papierkopien und Druckmedien).
  • Klassifizieren. Wenn Sie alle Informationen zusammengetragen haben, beginnen Sie mit der Klassifizierung der IT. Dabei kann es sich um Richtlinien der Geschäftsleitung handeln, die auf der Risiko-Bewertung basieren. Beispielsweise erfordern Informationen mit größeren Risiken in der Regel ein höheres Maß an Vertraulichkeit, aber es kann Ausnahmen geben.
  • Etikett. Sobald die Informationen klassifiziert wurden, müssen Sie ein System für die Etikettierung erstellen. Dies sollte klar und konsistent sein, obwohl es für digitale Dokumente andere Standards als für Papierkopien geben kann. Es kann wichtig sein, sicherzustellen, dass diese Querverweise sind.
  • Erstellen Sie Handhabungsregeln. Nachdem die Kennzeichnung abgeschlossen ist, legen Sie Regeln zum Schutz der einzelnen Informationen basierend auf Format und Klassifizierung fest. Für vertrauliche Dokumente gelten möglicherweise strenge Zugriffsbeschränkungen, während alte Papierakten möglicherweise in einem unverschlossenen Aktenschrank aufbewahrt werden, da es sich um öffentliche Informationen handelt.

Warum ist die Einhaltung der Einhaltung der Informationsklassifizierung wichtig?

Die Absicherung Ihrer Daten vor Sicherheitsverletzungen und anderen Cyberbedrohungen ist wichtiger denn je. Da immer mehr Büroangestellte von zu Hause aus arbeiten und von mehreren Geräten aus auf ihre Daten zugreifen, ist es wichtig zu verstehen, wo Daten hingehören und wer Zugriff auf die IT haben sollte, um Ihr Unternehmen vor Bedrohungen zu schützen. Sobald eine Datenbankstruktur mit spezifischen Berechtigungen vorhanden ist und das System ordnungsgemäß dokumentiert wurde, damit jeder im Unternehmen darauf zugreifen und den Prozess verstehen kann, können Sie den Zugriff überwachen, um potenzielle Sicherheitsverletzungen zu bemerken, Schwachstellen zu finden, die zu Sicherheitsverletzungen werden könnten, und Sicherheitsmaßnahmen zu implementieren, um die Sicherheit der Daten zu gewährleisten. Die Einhaltung der ISO 27001-Compliance-Richtlinien erleichtert der IT auch die Implementierung anderer Sicherheitsstandards, die auf staatlichen Vorschriften oder Branchenrichtlinien basieren. Einige dieser Vorschriften können Folgendes umfassen: 

  • HIPAA-Konformität für Unternehmen im Gesundheitswesen
  • DSGVO-Konformität für die personenbezogenen Daten von Bürgern der Europäischen Union
  • PCI-Compliance, die hilft, die Sensibilität von Daten zu klassifizieren
  • SOC 2-Konformität für Dienstleistungsunternehmen, die vertrauliche Informationen verwalten

Cloud-Speicherlösungen sind günstig und viele Unternehmen steigen auf diese Art der Datenspeicherung als Lösung für interne Anforderungen um. Bei der Cloud-Speicherung werden Ihre Daten jedoch gemeinsam mit den Daten anderer auf einem Server gespeichert. Daher ist es für die IT-Abteilung umso wichtiger, starke Systeme zur Informationsklassifizierung zu entwickeln, um potenzielle Sicherheitsbedrohungen zu erkennen.

Referenzen

Informationsklassifizierung – Warum ist IT wichtig? PECB-Universität.

Informationstechnologie — Sicherheitstechniken — Managementsysteme für Informationssicherheit — Anforderungen. (Oktober 2013). ISO.

ISO 27001, der internationale Standard für Informationssicherheit. ITGovernance.co.uk.

ISO/IEC 27001:2013(en). (Oktober 2013). ISO.

So dokumentieren Sie das Scoping Ihres ISO 27001 ISMS – mit Template. (Dezember 2019). ITGovernance.co.uk.

Was ist die ISO 27001-Informationsklassifizierung? (Februar 2019). ITGovernance.co.uk.

Setzen Sie Ihre Identity Journey fort

Testen Sie Okta jetzt kostenlos – oder vereinbaren Sie einen Termin mit unserem Team, um über Ihre konkreten Anforderungen zu sprechen.

Erste Schritte
Kontakt